百度要求发布者添加Nosniff响应头

 

百度向Chrome发布了安全更新，并要求Web开发人员提供nosniff响应标头，以帮助防止通过Web浏览器进行黑客攻击。如果您是SEO，Web开发人员，Web设计人员或网站发布者，则此问题非常重要。

安全更新为何重要

攻击（Spectre＆amp; Meltdown）利用访问者设备中的漏洞来窃取密码等敏感信息。这会出现用户体验问题。

Chrome更新的功能

Chrome已更新至第67版。它引入了之前处于测试阶段的功能，称为站点隔离。站点隔离是一种防止攻击站点访问者浏览器的方法。

根据  Chrome的开发者页面: 

＆ldquo;网站隔离是Chrome中的一项安全功能，可针对某些类型的安全漏洞提供额外保护。这使得不值得信任的网站更难以访问或窃取其他网站上的帐户信息。

＆hellip; Site Isolation提供了第二道防线，使这种攻击不太可能成功。它确保来自不同网站的页面始终放入不同的进程，每个进程都在沙箱中运行，该沙箱限制了允许进程执行的操作。它还可以阻止进程从其他站点接收某些类型的敏感数据。因此，恶意网站会发现从其他网站窃取数据变得更加困难，即使它可能会破坏其自身流程中的某些规则。＆rdquo;

百度想要你做什么

百度的Chrome团队要求开发人员和发布商做两件事，以帮助Chrome＆rsquo的网站隔离功能更有效地工作。

1.检查资源是否以正确的“内容类型”提供服务。响应标题

2.该资源提供了一个nosniff响应标题

这里是百度的开发者页面状态:

对于HTML，JSON和XML资源: 确保为这些资源提供正确的“内容类型”服务。下面列表中的响应标题，以及“X-Content-Type-Options: nosniff＆rdquo;响应标题。这些标头可确保Chrome可以将资源标识为需要保护，而不依赖于资源的内容。

HTML MIME类型＆ndash; ＆ldquo; text/html＆rdquo; XML MIME类型＆ndash; ＆ldquo; text/xml＆rd;，＆ldquo; application/xml＆rdquo;，或其子类型以＆ldquo; + xml＆rdquo; JSON MIME类型＆ndash;结尾的任何MIME类型; ＆ldquo; text/json＆rdquo;，＆ldquo; application/json＆rdquo;，或其子类型以＆ldquo; + json＆rdquo; Nosniff Response Header

结尾的任何MIME类型 nosniff响应标头是一种使网站更安全的方法。

安全研究员Scott Helme将其描述为: 

＆ldquo;它阻止百度 Chrome和Internet Explorer尝试模仿 - 嗅探响应的内容类型，远离服务器声明的响应。＆rdquo;

Chrome 67现在有一个自动化流程来保护用户免受幽灵和熔毁攻击。但是，百度建议Web开发人员不要依赖这个自动过程，而是要使用nosniff响应头:

清楚地说明

＆ldquo;＆hellip;当'nosniff＆rdquo;标头不存在，Chrome首先查看文件的开头，以确定是否是HTML，XML或JSON，然后再决定是否保护它。如果无法确认，则允许跨站点页面的流程接收响应。这是一种尽力而为的方法，它可以在保留与现有站点的兼容性的同时增加一些有限的保护。我们建议网络开发人员包括“nosniff”和“nosniff”。标题保护自己的资源，避免依赖这个“确认嗅探” 。方法＆rdquo;的

如何添加Nosniff响应标头

首先要检查安全标头。 SecurityHeaders.com是一款免费且易于使用的工具，可扫描网站以查看他们是否缺少与安全相关的标题。

如果你需要实现一个nosniff响应头，一种方法是使用htaccess。

nosniff响应头:的Htaccess代码

＆lt; IfModule mod_headers.c＆gt; 标题设置X-Content-Type-Options nosniff ＆LT;/IfModule＆GT;

如何在WordPress上添加Nosniff响应标头

如果您使用的是WordPress，则可以使用两个插件来添加几个重要的安全标头，包括nosniff标头。第一个安装了3,000多个安装标题的安全标题。这是一个易于使用的插件，具有Zui少的设置，可以完成一件事并做得很好。

第二个插件称为HTTP Headers，通过1,000多个安装提高安全性。此插件包含更多用于加强安全性的功能，包括设置CSP（Content-Security-Policy）标头，这有助于防止跨站点脚本和点击劫持。

第三个插件有6,000多个安装，易于使用且全面。它叫做HTTP Headers。这个 插件在易用性和全面性之间取得了平衡。用你自己的判断，选择适合自己的东西。

警告:我倾向于使用安装次数Zui多且评级Zui高的插件。但是高安装并不能保证插件没有问题和错误。安装插件时务必小心。

注意:如果您使用的是W3 Total Cache，请确保在更新插件上的设置后清空缓存。否则设置可能不会生效。

外卖:安全响应标头很重要

即使百度 Chrome没有要求发布者添加nosniff响应标头，仍然Zui好将该安全响应标头添加到网站。

阅读百度的安全博客文章，在Chrome中使用网站隔离缓解幽灵

Shutterstock的图片，作者修改

CategoryNewsSEO